Как бороться с атаками на магазин ?

pidar

Устал я порядком от талантливых вьюношей которые стремятся сломать все и вся. А также от героев, которые заливают шеллы, чтобы не дай бог с ними рассчитались!

 

Самый эпичный эпиздо был на прошлой неделе. Над магазином работали несколько разработчиков, после которых осталось столько вкусного, что мне потребовалось четыре дня, чтобы устранить все дыры. Но в итоге пидарги все равно успели спиздить базу и все файлы магазина.

В итоге кроме чистки кода, отключения метода upload  в контроллере product.php, оптимизации сервера и системы и резервирования запаса производительности на 500%, я еще удалил с сервера phpmyadmin, запретил обращения к любым типам архивов, напихал во все критичные папки .htaccess  с запретом на исполнение.

В итоге атаки потихоньку утихли. Но такого, я раньше не видел, чтобы народ еще и предлагал купить владельцу магазина его же базу.

С одной стороны — я на 99% процентов подозреваю, что виновник этой ситуации кое кто из известных в узких кругах разработчиков. С другой стороны. С  этим пора что то делать.

В голове зреет идея некой поделки.
1. Надо проверять появление всех новых файлов и вести раз в день журнал со срезами списка файлов.

2. Проверять листинги кода на присутствие EVAL, BASE64, GZIP, GLOBAL и прямого использования кодировки UTF.

3. Проверять наличие в папках cache, upload, image люых исполняемых файлов, а также просматривать наличие всякого хлама вида lic.php, sys.php  и так далее…

4. Чекать системные настройки, время выполнения, таймауты mysql и так далее.

5. Проверять всякие feofan, корефан и остальные упырские варезы.

6. Переименовывать файл лога. Проверять чтобы отключено было отображение а еще лучше и запись ошибок.

7. Проверять присутсвие JSON  в сборке php.

8. Подсчитывать суммарное обращение с каждого айпи — блокировать доступ при превышении определенного лимита.

9. Блокировать все айпи, с которых была попытка POST-запроса в product/upload

Еще идеи есть ?

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Сантехнычу нужна помощь зала!

logo_san

Господа, помните мой пост про гелик по дешману.

Не спрашивайте как и зачем, но я сконтактировался с парнягами, которые замутили проект про гелик и много чего еще, оказалось что у них кроме секретного гаража и гелика по дешману, есть еще и магазин сантехники Сантехыч.

Магаз на опенкарте, но он тоже был сделан по дешману и там маленькая опа со всем, от сео-настроек до скорости работы магазина. Я думаю что мы немного поможем парням и подкрутим их магаз.

Часть проблем я своим зорким взглядом уже обнаружил, но глаз у меня хоть и зоркий, но замыленый.

Вобщем давайте кто во что гаразд советы и предложения в каменты.

Единственное что в магазе заебись — так это логотип.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Opencart 2.3 beta. Рассматриваем внимательно (для Марка )

cherez-lupu (1)

Так как за неделю в гитхабе напилили перепилили, обзор я немного притормозил. Но из того что высмортел суровых отличий, вот:

framework (сюда вынесена логика из index.php отвечающая за сборку ядра движка).

/system/framework.php

Настройки, преэкшны и ивенты  подхватываются из system/config/default.php

Для чего там /system/config/catalog.php

Я пока не понял

translation — тоже до конца не ясно зачем введен класс. Не разбирался.

divido Что за зверь.

5.4  и сессии + namespace

extension + туда же перенесли шаблоны

Менеджер событий УРА УРА

Уведомление на почту при появлении комментария. Давно пора!

Время жизни кеша

System config файловый / разные конфиги для разных точек входа

html возможно был в 2.2

GZIP NEED!

autoload if in config

 

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Некошерно пидары ебутся!

pidary

Sv2109 решил поебать чукчу. Или наоборот. Но особой разницы нет!

Один нахерачил бесполезную херь номер раз

Второй добавил номер два.

Очень жаль что они не могут  изьебать друг друга до летального анального кровотечения, чтобы избавить мир от своего присутствия раз и навсегда.

Очень правильный камент пришел от сочувствующих, пришлось пост переименовать:

А чо ита?) Значит «Пидары ебутся!» это ок, а если добавить в сракотан, то это уже не кошерно?))))

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+5 рейтинг, 5 голосов)
Loading...Loading...

Яндекс проснулся и разделил выдачу на mobile и desktop

Яндекс-лох

Но это вряд ли ему поможет. Так как мобильного трафика нативного из девайсов ему взять негде.

Мне кажется — это попытка вскочить в последний вагон уходящего поезда. Так как на сегодня по некоторым нишам у Яши уже меньше 50% трафика по РФ. И дальше будет только хуже. Мобильный трафик ему взять негде, так как на всех андроид девайсах стоит по умолчанию Гугл. Это классический пример, когда старый опытный буйвол, спустился с горы и выебал все стадо.

Хотя может они конечно и заключат с Мозиллой соглашение на рунет, в чем я очень сомневаюсь. Яндекс-стринги им надо было делать года на два раньше — сейчас уже поздно кусать локти.

Мораль этой басни для меня очень проста. Наш бизнес он тоже весь такой динамичный, и как бы Динокс, раньше нас не выпустил ocstore 2.3.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+4 рейтинг, 4 голосов)
Loading...Loading...

Yo yo yo. Come on. Йода с вами. Типа рэп!

Hot-beach-wallpapers-hd-wal

Простите друзья мои, что редко пишу. Но лето. Дача-хуяча и куча работы не оставляют времени сосредоточится и запилить хороших постов. В голове зреет штук десять тем, про которые накипело, но это позже (долгими зимними вечерами), потому что очень хочется пиджак с отливом и в Ялту на море. Слава богу что Крым стал ваш. Может куда нибудь в Мелекино наконец то съезжу.

Читать далее

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+6 рейтинг, 6 голосов)
Loading...Loading...

Opencart 2.3 вышел в Beta версии

Опять подгадили парни.

Пока что из печального и не очень:

  • php 5.4 минимум.
  • модули и каналы продвижения переехали в экстеншны. Ну епт сколько можно тасовать структуру.
  • От Index.php остались три строчки. Все переехало в loader и  в startup. Это как по мне неплохо, так как некоторые решения ранее были очень затруднены без инициализации класса перед преэкшнами.
  • Появился класс прокси.
  • Доработан до ума механизм обработки сессий.
  • В настройки добавили наконец то временную зону для PHP. Еще бы для Mysql сделали тоже самое — не помешало совсем.

По итогу покрасили косметически помазали. Дофиксили баги из 2.2
Теперь смотрим по количеству пулреквестов с багфиксами. Если их будет не вагон и тележка — ждите opencart.pro 2.3. Если засыпят  — ну что ж. Зарелизимся к 2.3.1.
Ну и похоже языковые локали не вернутся. Привыкаем к en_en/

Ну к сожалению эта ветка не принесла существенных изменений. Получились как всегда «те же яйца только в профиль». Радует два момента. Они не откатили все в зад как они это умеют, и не перепилили заново полдвижка, как это было в 2.2.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+2 рейтинг, 2 голосов)
Loading...Loading...

Обращение к писателям парсеров

parsing

Господа, я вам охотно верю, в том что вы великие талантливые программисты. Но все же — иногда разувайте глаза. И читайте че почем вокруг происходит…

Недавно обнаружил в одном IMPORT ГАВНОКРИВЫЕ РУКИ ПРО. Скрипт проверяющий системное соответствие   типа требованиям.

Автор — реальный сказочный долбоеб. По двум причинам. Во первых он кладет в корень скрипт. Который вываливает php.info  — а это дыра в безопасности. Во вторых требования модуля — ну просто ебанись 200 секунд тайм лимит пхп. Да ебись ты конем, упырь, как можно оставлять такую брешь. Это как раздвинуть булки, смазать очко вазелином и пригласить в гости молодых упругих ддосеров. Здравствуйте. Вам даже напрягаться не надо.

У дяди Сирожы в автоматической обработке прайс-листов другая беда. У него не надо тайм лимита, но надо нажимать ф5.

Про МаксДа вПопенШопа я молчу совсем.

Так вот ваши проблемы решаются через AJAX при умелой готовке порционнной обработки входящих файлов. Специально для вас погуглил — вот почитайте. Проникнитесь.

И еще… Не делайте инсерты по одному файлу — таблицы запираются, постоянно перестраиваются индексы, и магазины на время импорта умирают. Сделайте же наконец кто-нибудь промежуточные дублирующие таблицы, в которые вы собираете данные из прайса, и потом  из которых сводными запросами,  можно будет все вставить одним махом в  боевые. Посмотрите уже наконец то как импорт в prom.ua реализован.

 

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+5 рейтинг, 5 голосов)
Loading...Loading...

Знаете, херня в жизни случается

muzhik-bleat_44430101_orig_

Я думал долго писать мне этот пост или не писать.
Но тут возникла ситуация, что таки наверное надо.

Последние четыре года моей жизни, я жил грубо говоря на пороховой бочке, которая таки взорвалась и ничем хорошим это не закончилось.
Но суть не в этом.

Иногда у всех у нас болеют близкие. И иногда болеют так, что ты ничего не можешь сделать.
Но даже в ситуации когда ты ничего не можешь сделать и кто-то из окружения оказывается в полной жопе, все равно это в итоге очень дорого.
В моей ситуации, скажем откровенно, понимая цену вопроса, я ходил в одних штанах и в одних кроссовках четыре года. При этом имея доход раз в двадцать больше средней зарплаты по стране.
Зато я был спокоен, что возникни в нашей ситуации любые врачи, больницы и лекарства — вопрос будет закрыт моментально, и мне не придется с выпученными глазами бегать по друзьям знакомым просить денег.

Из всей ужасной истории моей жизни я вынес для себя одно. Если кто-то заболел — готовь сука бабло, и будь готов найти еще в 10 раз больше.

И знаете… Все усилия и действия, когда мы помогаем близким отдавая все… Они того стоят.
Вот у меня на сегодня нет к себе ни единой претензии, что я чего-то не сделал что мог бы. И я сплю спокойно и мне есть за что уважать себя.

А теперь к сути вопроса.
У нашей Блонди — приключился житейский казус.
Ее крестник малость приболел. Приболел очень опасно достаточно смертельно, но есть дохрена шансов что можно его вытащить и дать костлявой лещей.
Вытащить его можно задорого.
Бабло есть — но недостаточно.

Поэтому. Если кто считает себя может чем нам обязанным немножко, или мы кому нашими действиями помогли. Направьте вашу благодарность в адрес крестника Блонди
по следующим реквизитам:

Реквизиты для помощи:
Приват Банк Гривны — 5168 7556 3318 0266 — Горбач Александр Петрович
Приват Банк Доллар — 5168 7573 0919 8945 — Горбач Александр Петрович
Приват Банка Евро 5168 7573 0919 8911 — Горбач Александр Петрович
Unikredit Bank Гривны — 4874 1054 0223 0074 — Горбач Александра Владимировна

Кошельки вебмани
Гривна U237883635041
Рубли R103994560503
Доллар Z376064367043
Евро E227571332910
Яндекс 410013111425322

Как говорится, с миру по нитке голому рубаха — а Ромке жизнь.

p.s Кто такя Блонди, если кто не знает — это наша боевая подруга, которая любит вертеть хвостом и принимает активное участие в нашем коммьюнити, направляя и наставляя регулярно полезными советами новичков и не только. Вот ее профиль у Динокса,  а вот у нас.
p.s.s К чему я написал столько воды а не просто дал реквизиты и диагноз мелкого. Ну знаете ли… Это ж мой блог. Вы ко мне привыкли и такая вот у меня подача. Основная мораль — очень проста….
Бабло приходит и уходит. А будет ли у меня за что уважать себя лет в 60, для меня очень важно!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+9 рейтинг, 9 голосов)
Loading...Loading...

Лендинг пейджи и хуйнаныр

kupi_huyniu

Друзья, этот пост он не совсем для всех, это ситуация когда я правда прошу вашей помощи.
Обычно я все про все знаю и на все у меня есть ответ.

Но я случайно оказался в ситуации, когда я не знаю как поступить.

Ситуация следующая есть у меня неплохой магазин с небольшим трафиком 600-800 уников в сутки и дикой конкуренцией.
В силу жизненных обстоятельств, последние два года этот проект жил своей жизнью, в небольшой минус, лишь бы не умереть, так как он мне очень дорог.

Я решил вдохнуть в него новую жизнь, и помониторив конкурентов. Первое что хочу сделать — уникальные лендинг пейджи в виде мульимагазана с собственными доменами на 50 топ товаров. Ну и вы помните у нас же есть волшебная мультиязычная реализация для мультимагазина. Так что на каждый домен я могу сделать абсолютно уникальный контент.

Вопроса два..
Имеет ли смысл это делать ?
Если имееет смысл — где взять трафик ?

Пожалуйста, сео сектанты и пиздаболы идите на хуй из комментариев. Я обращаюсь сугубо к людям, которых могу назвать друзьями и те к кому я обращаюсь, знают что это именно к ним.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+2 рейтинг, 4 голосов)
Loading...Loading...

Некогда обьяснять…

Жара утомила
поэтому кратко
В работе магазин на 500 000 товаров расширяемый до двух миллионов. Работает очень быстро.
Как и что было сделано — расскажу по итогу.

И я купил себе шаблон Revolution, для одного из наших магазинов.
Тоже по концу сделаю отчет.

ПОКУПАЕМ.. СО СЛЕДУЮЩЕЙ НЕДЕЛЕ ДОРОЖАЕТ!

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+6 рейтинг, 6 голосов)
Loading...Loading...

Шаблон Revolution теперь для Opencart.pro официально

1YavXoc

И по этому поводу — автор сделал подарок для всех наших пользователей.

Купон со скидкой — все зарегистрированные пользователи нашего форума со статусом, про, которые купили сборку opencart.pro, получат в рассылке. Если не терпится — пишите автору в личку. Количество купонов ограничено.

Демо Opencart.PRO — здесь

Демо админки — здесь

Логин/Пароль — demo/demo

Ещё демо — здесь и здесь

 

Купить можно здесь — LiveOpencart.ru

Не благодарите.

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+7 рейтинг, 7 голосов)
Loading...Loading...

Делаем правильную мультиязычность на Opencart 1.5 и заставляем тему Journal дружить с Seopro

Åâðîñîþç âûäåëèò 9 ìëí. åâðî íà ïðîãðàììó "Ïîääåðæêà óãîëüíîé îòðàñëè"

В последнее время у меня паранойя — меня преследует большая куча ванючей субстанции, которая воняет и не дает спокойно спать — называется шаблон для Opencart Journal.
Вы скажете что на тем форесте у нее 10 000 продаж. Ок ок. В макдачной тоже очереди, это же не значит что у них вкусная и полезная жрачка.

Так вот попал мне в руки магазин, на котором стоял Жорнал, и которому необходимо было сделать красивые ссылочки с префиксами. Как всегда там стояло какое то СЕОВСЕ. СОВСЕ — это когда студенты с фл ру, качают с варезов все модули название которых начинается со слова SEO и начинают их бездумно пачками ставить.

Читать далее

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+3 рейтинг, 5 голосов)
Loading...Loading...

Боремся с фейковыми заказами в интернет-магазине

antifraud

Конкуренты не спят!

Вчера одновременно ко мне обратилось два разных человека с одинаковым вопросом — что делать с фейковыми заказами от конкурентов. Так как у обоих большие объемы продаж, и оба торгуют наложенным платежом, 50-100 глухих заказов от конкурентов в Южно-Сахалинский округ почтой России и обратно, могут сделать дыру в оборотных средствах. А еще почта побьет или потеряет процентов 10 товаров, а еще товар может быть невовзратный. И оплата доставки в два конца, тоже немаленькие деньги. Подобным образом можно у любого приличного владельца магазина пробить дыру в бюджете и отбить желание работать наложкой, ну и попортить нервы.

Понятное дело, что заказы будут делаться через корзины. Напрячь 100 разных человек сделать заказ по телефону — все таки сложнее задача. Проще купить 100 карточек у таджиков возле метро.

Пораскинув мозгами, я придумал каким образом с большой долей вероятности можно отсечь процентов 80 подобных заказов и вывесить большой жирный алерт «ВНИМАНИЕ МОШЕННИКИ».

А теперь вопрос в студию — по каким признакам, по вашему, можно определить фейковый заказ? Если не затруднит в комментариях — кратенько и тезисно по пунктам.

Чуть позже, я поделюсь с вами своими мыслями (всех алгоритмов оценки до конца не раскрою, где то про половину расскажу).

И еще — если есть у кого-то из разработчиков желание стать «литературным негром» и написать модуль AntiFraud, в полкуша. Готов к сотрудничеству. С меня алгоритмы работы и подробное тз — с вас код и поддержка (в ближайшее три месяца не готов сам подобное писать ввиду полного отсутствия свободного времени).

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+2 рейтинг, 2 голосов)
Loading...Loading...

Гелик по дешману. Это лучшие видеоблогеры рунета я щетаю.

Особенно как человек который в свое время пострадал от БМВ ГАВНО.

Вобщем давайте немного отвлечемся от интернет-магазинов и поднимем себе настроение.

 

 

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+1 рейтинг, 5 голосов)
Loading...Loading...

Адаптивный шаблон Revolution

1YavXoc

В отличии от боевых пидарасов типа XDS, есть нормальные люди, которые не занимают позицию упрямого быдла.

Рады представить шаблон, Revolution. Его сделал настоящий герой Pikitos. Мало того что получился хороший шаблон. Он изначально совместим с Opencart.pro

Демо здесь.

Скоро в магазине у 19го!

 

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+9 рейтинг, 9 голосов)
Loading...Loading...

Тормозит Opencart часть 14 | Делаем быстрый поиск или Sphinx показывает болт SV2109

sphinx

Давным давно я пытался устроиться на работу в outsorce it шараж монтаж. Слава богу что меня не взяли. Одним из требований вакансии было понимание технологии Sphinx, ну не взяли меня не потому что я не понимал что это, а потому что не понимал совсем ничего.
Вот только у меня в отличии от нашего местного Рыжего — не было в свободном доступе господина Savage4pro, которого можно заебать миллионом вопросов, и почти всегда сразу получить вменяемый ответ. Было это лет 7 назад. С того времени мы с головой влезли в разработку, и меня не удивишь показателями 1M pageview per day.

На сегодня, в нашей очень большой практике по оптимизации магазинов, решались практически все вопросы —  но вопрос поиска был всегда приоткрыт. Mysql — это отличная реляционная база данных. PHP хорош как интерпретатор гавногода. А вот поиск в этой связке — хоть ты убейся, из коробки штатными методами без танцев с бубном — мертвый.

Читать далее

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+12 рейтинг, 12 голосов)
Loading...Loading...

SEO оптимизация магазина на Opencart + сиськи тети Эмили 18+

t_bdit

Так как вселенский срач у Динокса прекратился, ввиду того что тема  про сео оптимизацию опенкарт была закрыта. Думаю стоит пройтись по высказыванием авторов. Поддержать моего боевого товарища Снастика. И лишний раз напомнить что Inseonight мошенник и упырь.

Итак…

Читать далее

Проголосовать ПРОТИВ этой записиПроголосовать ЗА эту запись (+5 рейтинг, 5 голосов)
Loading...Loading...